Seit Kurzem sind viele Unternehmen, Geschäfte und Dienstleistungsbetriebe aufgrund der jeweiligen Corona-Vorordnungen der Länder verpflichtet, Menschen, die sich in deren Geschäftsräumen aufhalten, genau zu registrieren, um gegebenenfalls Infektionsketten nachvollziehen zu können. Da diese Datensammlungen genau diesem Zweck dienen, kann es dazu kommen, dass hier implizit Gesundheitsdaten verarbeitet werden. Diese besonderen Kategorien personenbezogener Daten unterliegen gem. Art. 9 DSGVO einem besonderen Schutz, da hieraus erhöhte Risiken für die Rechte und Freiheiten der betroffenen Personen entstehen können.

Grundsätzlich ist jede für die Verarbeitung personenbezogener Daten verantwortliche Stelle rechenschaftspflichtig bzgl. der normenkonformen Ausgestaltung der Verarbeitung. Im Gegensatz bspw. zur (allgemein bekannten) Unschuldsvermutung in rechtsstaatlichen Strafverfahren muss der Verarbeiter selbst also immer aktiv in der Lage sein nachzuweisen, dass er sich rechtskonform verhält.

Eine Verarbeitung personenbezogener Daten bedarf zunächst immer einer geeigneten Rechtsgrundlage.

Der Art. 9 Abs. 1 DSGVO untersagt grundsätzlich die Verarbeitung bspw. Von Gesundheitsdaten. Die Registrierung von Kunden dürfte in diesem Fall zur „Erfüllung einer rechtlichen Verpflichtung …, der der Verantwortliche unterliegt“ erforderlich sein (Art. 6 Abs. 1 lit. c) DSGVO) und damit den Ausnahmetatbestand des Art. 9 Abs. 2 lit. i) (Verbot gilt nicht, da „die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit … erforderlich“ ist) erfüllen.

Die Verarbeitung der personenbezogenen Daten zum Zweck des Nachvollziehens von Infektionsketten ist also erlaubt. Allerdings geht diese Verarbeitung einher mit verschiedenen Verpflichtungen des Verarbeiters, die erforderlich sind, die Rechte und Freiheiten der betroffenen Personen angemessen zu schützen.

Zum Zeitpunkt der Erhebung dieser Daten (konkret VOR BEGINN der Erhebung oder anderweitigen Verarbeitung) hat die verantwortliche Stelle den betroffenen Personen „alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“.

Eine Anmerkung hierzu aus der Praxis: Formulierungen wie „Hiermit informieren wir Sie über Ihre Rechte aus der DSGVO, die Sie dem Gesetz entnehmen können“ sind nicht nur wenig hilfreich, sondern verstoßen schlicht gegen das Gesetz. 😉

Es ist also notwenig, eine Datenschutzinformation zur Verfügung zu stellen, die den Betroffenen im Zusammenhang mit der Datenerhebung zur Kenntnis gebracht wird. Eine Einwilligung der betroffenen Personen in die Datenverarbeitung oder ein „Zustimmung“ zu dieser Information ist ausdrücklich nicht erforderlich.

Ein Muster für eine solche Datenschutzinformation können Sie hier herunterladen. Das Dokument ist im Open Document-Format (odt) gespeichert und mit jedem gängigen Textverarbeitungsprogramm zu öffnen. (Disclaimer: dieses kostenlose Muster ist als Anregung zu verstehen und muss individuell angepasst werden. Ich übernehme keinerlei Haftung für die Nutzung dieses Dokuments.)

Drüber hinaus ist der Verarbeiter natürlich verpflichtet, geeignete, der Kritikalität der Daten entsprechende (dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessene), technische und organisatorische Maßnahmen zum Schutz der Daten zu treffen. In der Praxis sollte die folgende Checkliste hilfreich sein:

  • Personenbezogene Daten dürfen unberechtigten Dritten nicht zur Kenntnis gelangen. Die betroffenen Personen dürfen sich also in keine Liste eintragen, sondern jeder Person muss ein separates Blatt bereitgestellt werden, welches nach dem Ausfüllen für Dritte nicht einsehbar abgelegt wird.
  • Die Datensammlung muss sicher aufbewahrt werden. Es muss also dafür gesorgt werden, dass die Daten bspw. während des Geschäftsbetriebs nicht entwendet werden können; sie sollten zudem nach Geschäftsschluss zumindest in einem abschließbaren Aktenschrank aufbewahrt werden.
  • Nach Ablauf der erforderlichen (und dem Betroffenen in oben beschriebener Information mitgeteilten) Aufbewahrungsfrist sind die Daten zu löschen. Aufgrund der Sensibilität der Daten sollte hierbei mindestens die Schutzklasse 4 (Partikelgröße max. 4 x 40 mm) gewählt werden. Eine Information zur datenschutzkonformen Löschung personenbezogener Daten finden Sie hier zum Download.
  • Es muss sichergestellt werden, dass die Betroffenenrechte nach Artt. 15 bis 22 DSGVO gewährt werden.
  • Es versteht sich von selbst, dass die gesammelten Daten zu keinem anderen Zweck benutzt werden (dürfen) und auch in keinem Fall an unberechtigte Dritte weitergegeben werden. Der Missbrauch dieser Informationen wäre ganz eindeutig ein mit einem empfindlichen Bußgeld (bis zu 20 Mio EUR oder 4% des Jahresumsatzes) bewehrter DSGVO-Verstoß.

Eine letzte Anmerkung: Die hier beschriebene Verarbeitungstätigkeit ist zwingend Bestandteil des Verzeichnisses von Verarbeitungstätigkeiten gem. Art. 30 DSGVO und muss in dieses aufgenommen werden.

P.S.: Der Download dieser Dokumente ist vollkommen kostenfrei und verpflichtet Sie zu nichts. Downloads werden nicht getrackt, Sie müssen keinerlei Daten wie E-Mail-Adresse etc. angeben. 

Sprechen wir miteinander!

Haben Sie Fragen zum Datenschutz für Ihr Unternehmen? Sind Sie betrieblicher Datenschutzbeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.

Anrufen

Schreiben

p

Disclaimer

Falk Schmidt ist zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor. Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studenten.

Die hier erscheinenden Artikel illustrieren seine private und/oder professionelle Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.